Bitte um Hilfe bei Ersteinrichtung. :o)

Oh wow, da hast Du aber mächtig investiert!

Zitat von direwolf

Ein Feedback zur Hardware kann ich auch schon geben. Die gelieferten 16TB-Platten von UI sind hoellisch laut bei Random-Zugriffen.

Kannst ja gerne mal die Modellbezeichnung schreiben. Ich vermute so die Richtung Seagate Exos oder Toshiba Enterprise?

Zitat von direwolf

Vor allem die "haette ich das am Anfang gewusst, haett ichs ganz anders gemacht"-Hinweise faende ich toll.

Ich hätte Dir vorher sagen können, dass man am besten nie Geräte mit eingebauten SSDs/HDDs kauft, sondern lieber selbst bestücken sollte.

Aber in Bezug auf Dein Netzwerk:

Man kann in einer Heimnetzwerkumgebung in der Regel alles auch später umkonfigurieren bzw. erweitern, ohne dass es inakzeptable Beeinflussungen gibt. Das ist im gewerblichen Kontext oft nicht der Fall. Von daher mach Dir erstmal keine zu großen Sorgen, es muss nicht direkt am Anfang alles passen. Trotzdem sind natürlich vorherige Überlegungen und Vorbereitungen gut, insbesondere bei allen baulichen Maßnahmen:

- Teste mit Deinen APs an einem langen Kabel, wie die jeweilige Ausleuchtung ist, so dass Du Dir die Dosen für die APs an die passenden Stellen setzen lassen kannst

- Plane Netzwerkdosen sehr großzügig ein

- Lasse Dir, wenn es das Budget zulässt, auch gleich einige Glasfasern mit in die Wand legen

- Überlege Dir, wieviele Subnetze Du benötigst und wofür diese dienen sollen

- Denke über eine kleine bis mittlere USV im Netzwerkschrank nach, die UDM und PoE-Switch beim Stromausfall stützt

- Vor jeder größeren Änderung im Unifi-Controller: Backup machen und als Datei auf dem Rechner sichern

- Dokumentiere Dein Netzwerk

Auf jeden Fall ganz viel Spaß beim Einrichten, sieht nach einem hübschen Haus aus, in dem Du wohnst.

Zitat von direwolf

Zu viel? Zu wenig?

Geschmackssache. Und kommt auch drauf an, wieviele Geräte man betreibt, wieviele Nutzer(-Gruppen) es gibt, wieviel Zeit man bereit ist, ins Netzwerkmanagement zu investieren.

Für mein Heimnetz wären 7 Subnetze zu viel, aber ich habe auch weniger Geräte und (ganz offensichtlich) deutlich weniger Platz als Du.

Grundsatz hier: Je feingliedriger aufgeteilt, desto genauer kannst Du z.B. über Firewall-Regeln Einfluss nehmen und auch das "Verhalten" Deiner Geräte im Netzwerk studieren. Kehrseite: Der Verwaltungsaufwand und das Fehlerpotential steigen deutlich.

Um es zu verdeutlichen: Man könnte theoretisch für jedes einzelne Gerät ein VLAN erstellen, damit muss dann aber auch für jeden einzelnen Kommunikationsweg eine Regel erstellt werden.

Vorausgesetzt natürlich, man schottet die VLANs untereinander ab, aber ohne dies ergibt das gesamte Konstrukt der VLANs nur zur Hälfte Sinn.

Außerdem ist das Erstellen von Regeln nicht die einzige Aufgabe, man muss sie ggf. anpassen, weiterentwickeln, umbauen. Es geht also um mehr als einen initialen Aufwand.

Als genereller Hinweise für Dich, weil das oft nicht in dieser Deutlichkeit bekannt ist bzw. verstanden wurde: Geräte innerhalb des selben VLANs kommunizieren direkt miteinander. VLAN-übergreifender Verkehr muss durch die Firewall, nur bei diesem greifen also Regeln.

Jegliche Kommunikation mit dem Internet geht natürlich ausschließlich durch die Firewall, logo.

Das bedeutet aber auch, dass wenn Du z.B. zwischen einem PC und einem NAS eine 10Gbit/s-Verbindung erwartest, wird dies durch Deine Firewall hindurch nicht in der Geschwindigkeit funktionieren, weil die UDM dafür viel zu langsam ist. Sind PC und NAS im selben Subnetz, spielt die Leistung der Firewall keine Rolle, da sie nichts mit der Verbindung zu tun hat.

Was zu meiner kleinen Aufzählung oben übrigens noch hinzuzufügen wäre ist, dass Du alle Ports im Außenbereich entsprechend sichern solltest, sodass jemand, der eine Cam entfernt und seinen Laptop dran hängt, so wenig wie möglich tun kann.

Ports, speziell im Außenbereich, die aktuell nicht verwendet werden, würde ich nicht mit dem Switch verbinden, auch wenn dieser Kapazitäten frei hat.

Bei allem immer nach der Methode handeln: "Soviel wie nötig, so wenig wie möglich", das ist ein wichtiger Baustein in Sachen IT-Security.

Ach so, bei der VLAN-Zuweisung unter Unifi am besten nicht die IDs 1-10 verwenden, darüber sollte es keine Kollisionen geben.

Zitat von direwolf

Und hier wirds dann interessant. "Natuerlich" soll es moeglich sein, Inhalte vom Mac auf das Apple-TV hinter dem Fernseher zu "werfen". beide in unterschiedlichen VLANs. Die Frage ist nur, wie ich das sinnvoll und einfach konfiguriert bekomme (Komfortwunsch) und dabei zumindest ausschliessen kann, dass das Apple-TV als Sprungbrettt in mein Trusted-Clients-Netz in Frage kommt.

Die klassische Herangehensweise ist, dass Geräte aus dem "Trusted"-Bereich zu Geräten von "Untrusted" Verbindungen aufbauen dürfen, andersherum aber nicht. Dies lässt sich sehr leicht über Firewallregeln konfigurieren. Es braucht dazu noch eine universelle "Established/Related"-Regel, damit das Untrusted-Gerät auch antworten kann, wenn es aus dem Trusted-Netz angesprochen wird.

Somit ist sichergestellt, dass Untrusted-Geräte lediglich innerhalb ihres VLANs Unsinn treiben können.

(Als paranoider Admin ist einem klar, dass jede potentiell mögliche Kommunikation ein Sicherheitsrisiko sein könnte, weswegen lediglich eine vollkommen physische Trennung "absolute" Sicherheit verspricht.)

Zitat von direwolf

Vollkommen klar. Und hier kann meiner Ansicht nach UI mit Performance punkten. Wobei, wo passiert das in einem reinen UI-Setup dann? Auf dem Layer3-Switch? Oder auf der UDM?

Die Frage verstehe ich nicht. Internetkommunikation kann natürlich nicht über einen Switch ablaufen. Aber wenn Du einen L3-Switch hast und das L3-Switching auch explizit aktivierst, wird diese sozusagen zum Router zwischen den VLANs - damit sind dann in aller Regel deutlich höhere Datenübertragungsraten VLAN-übergreifend möglich, als wenn die Firewall dies bewältigen müsste.